1. Обучайте и тренируйте сотрудников
Все чаще представители хакерских группировок обращают свое внимание на корпоративные аккаунты в социальных сетях. И в самом деле, получить к ним доступ не так уж и сложно, ведь все они контролируются обычными людьми.
Неопытный сотрудник, который не знаком с методами социальной инженерии и не осведомлен об опасности кликов на подозрительные ссылки, может легко стать входной точкой для злоумышленника, намеревающегося получить доступ к вашим аккаунтам.
Это может казаться удивительным, однако огромное количество людей, не задумываясь, кликают на ссылки в письмах даже от незнакомых адресатов. Именно этот метод лежит в основе фишинговых схем, что позволяет хакерам легко получать конфиденциальные данные доверчивых пользователей. А если этот пользователь — администратор Twitter-аккаунта крупной корпорации, то «угнать» его не составляет особого труда. Один из недавних примеров подобных ситуаций — взлом аккаунта Onion.
Он происходил по следующей схеме. Сначала некоторые сотрудники компании получили спам-письма, содержащие ссылку. Кликнув по ней, они после двух редиректов на сайты, контролируемые хакерами, попадали на страницу, где требовалось ввести данные ящика Gmail.
Продвижение медцентров и клиник: три кейса о SEO, TikTok и Instagram*
Как получить измеримые результаты в фарммаркетинге.
Показываем на примерах →
Спецпроект
Получив доступ к почте сотрудников, злоумышленники продолжили рассылку фишинговых писем уже с их аккаунтов другим сотрудникам Onion, которые, получив сообщение от знакомого адресата, без сомнений переходили по ссылке в письме. Так хакеры получали все больше данных от аккаунтов персонала Onion. Среди сотрудников, попавшихся на удочку, был и администратор всех социальных аккаунтов компании.
После того как IT-департамент Onion обнаружил проблему, всем сотрудникам компании было разослано письмо с просьбой сменить логин и пароль. Однако так как злоумышленники имели доступ к аккаунтам сотрудников, они получили это послание и, быстро сориентировавшись, отправили повторную рассылку (исключив сотрудников IT-отдела, чтобы остаться незамеченными), в которой была ссылка на страницу со сменой пароля. Нетрудно догадаться, что те сотрудники, которые ввели на ней свои данные, также стали жертвой взлома — один из них также имел доступ к Twitter-аккаунту Onion.
Проблему удалось решить только принудительным сбросом паролей от Google Apps всех сотрудников компании.
Чтобы избежать подобных ситуаций, необходимо проводить обучение и создавать корпоративные образовательные программы для сотрудников, чтобы повышать их уровень осведомленности о существующих угрозах и свести к минимуму риск того, что сотрудник, обладающий доступом к важным аккаунтам, попадется на удочку хакеров.
2. Необходима централизация социальных каналов
Для того чтобы увеличивать социальный охват бренда, зачастую необходимо создание нескольких аккаунтов в различных социальных сетях. Частью этого процесса является и расширение списка сотрудников, имеющих доступ к этим данным.
Кроме того, многие сотрудники создают собственные аккаунты в соцсетях, в которых указано их место работы. С течением времени контролировать эти каналы становится все труднее.
Первым шагом централизации всех каналов социальных медиа является их аудит — вам необходимо понимать, кто, что и где пишет от лица вашей компании, кто из сотрудников имеет доступ к каким аккаунтам. Тем, кому по долгу службы не нужен подобный доступ, но по какой-либо причине он у них был, нужно ограничить права.
Второй шаг — начните использовать какую-либо панель управления социальными медиа. Это позволит вам удобно разбивать информационный поток на отдельные потоки, обрабатывать которые будет куда легче.
3. Уделите внимание защите паролей
Чем больше аккаунтов в социальных сетях, тем больше необходимо паролей. Чем больше разных людей так или иначе задействованы в работе этих аккаунтов, тем важнее продуманная политика хранения и передачи паролей, чтобы предотвратить их попадание не в те руки.
Компании определенно должны разработать и внедрить парольную политику, в которой будут перечислены основные требования к хранению и использованию паролей. Прежде всего, пароль должен быть достаточно длинным и сложным. Используйте программное обеспечение, чтобы хранить пароли (LastPass, KeePass). Полезно использовать технологию Single sign-on (SSO), которая позволяет логиниться в корпоративные социальные аккаунты, используя те же логин и пароль, что и для доступа в корпоративную сеть. В этом случае, пароли находятся в руках системного администратора компании.
4. Введите систему одобрения публикаций
В социальных сетях хорошо проявлять себя человечным, поскольку пользователи любят живое общение, однако никто не застрахован от ошибок. В случае крупной компании, когда множество людей публикуют сообщения в соцсети, вероятность возникновения ошибок довольно высока. Если никак не предусмотреть подобное развитие событий, то убытки, причиненные неудачным твитом, могут быть весьма велики.
Простейшим решением возможных проблем является двухшаговый процесс одобрения сообщений. Большинство панелей управления социальными медиа предоставляют подобный функционал. Две головы лучше, чем одна, так что будет полезно, если на сообщение посмотрит не только его автор, но и SMM-менеджер, который сможет не только проанализировать целесообразность твита, но и исправить грамматические и орфографические ошибки.
5. Готовьтесь к худшему
Вне зависимости от того, сколько внимания вы уделили безопасности, всегда остается вероятность того, что что-нибудь все же пойдет не так — пользователь может случайно нажать кнопку, сотрудник, отвечающий за премодерацию сообщений, может допустить ошибку, изощренный хакер может обнаружить дыру безопасности и завладеть одним из ваших аккаунтов. Так что необходимо иметь план «Б», который вступает в действие, когда все идет по худшему сценарию.
Это означает, что сотрудники компании должны знать, что и как делать в кризисной ситуации, а также иметь возможность реагировать на события в социальных медиа удаленно — посредством мобильных приложений и других инструментов.
Ссылки по теме:
Hootsuite
Onion Inc.’s Tech Blog
cossa.ru/news
Источник: